CSAP 등급제 시행 눈앞에 두고도 가닥 못잡는 클라우드업계

팽동현 2023. 1. 16. 18:10
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
클라우드 생태계 발전방안 토론회
국내 CSP들 'CSAP 등급제' 성토
'전 등급 동시 시행' 이견 못좁혀

국회 윤영찬 의원(더불어민주당)이 16일 국회에서 개최한 클라우드 생태계 발전방안 토론회에서 참석자들이 토론을 하고 있다.

국회 윤영찬 의원(더불어민주당)이 16일 국회에서 개최한 클라우드 생태계 발전방안 토론회에서 참석자들이 토론을 하고 있다.

CSAP(클라우드 보안인증) 등급제 시행이 이달말로 다가왔지만 정부와 국내 클라우드 업계가 입장차를 좁히지 못하고 있다. 국내 CSP(클라우드 서비스 사업자)들은 업계의 생존이 걸린 사안인 만큼 정부가 제도를 좀더 검토·보완해 시행해야 한다고 목소리를 높인다.

국회 과학기술정보통신방송위원회 윤영찬 의원(더불어민주당)이 16일 국회에서 개최한 관련 토론회에서는 과학기술정보통신부의 고시 개정으로 오는 18일까지 행정예고된 CSAP 등급제를 두고 국내 CSP들의 성토가 이어졌다.

예정대로 이달 말 등급제가 도입되면 각 부처와 기관은 중요도에 따라 시스템을 상·중·하 등급으로 자체 분류해야 한다. 이 가운데 실증 없이 먼저 시행되는 하 등급의 경우 논리적 망분리가 허용되면서 AWS(아마존웹서비스), MS(마이크로소프트) 애저, GCP(구글 클라우드플랫폼) 등 해외 CSP의 진입이 가능해진다. 물리적 망분리 요건이 해제되면서 해외 기업에 빗장이 풀리는 셈이다.

이날 나종회 광주대 컴퓨터공학과 교수는 "미국 '페드램프(FedRAMP)'처럼 한국 CSAP도 등급제를 도입해 인증 부담을 낮추자는 게 골자인데, 이런 변화는 클라우드 생태계 영향까지 고려해 신중하게 접근할 필요가 있다"면서 "정부 클라우드 정책은 보안과 데이터주권을 지키면서 산업 경쟁력도 높일 수 있는 방향으로 추진돼야 한다"고 밝혔다.

윤대균 아주대 SW(소프트웨어)학과 교수는 "공공부문에서 민간 클라우드를 쓰는 게 중요한 이유가 산업 성장을 위한 마중물 역할"이라며 "미국의 보안 분류기준도 하루아침에 만들어진 게 아니다. 한국 CSAP도 데이터나 애플리케이션에 따라 등급을 나누는 것부터 신중하게 접근해야 한다"고 지적했다.

국내 CSP들은 '역차별'에 대한 불만과 명확한 기준의 필요성을 제기했다. 윤동식 KACI(한국클라우드산업협회) 회장은 "정부 하등급을 먼저 오픈하는 것은 반대하지만, 피치 못할 사정이 있다면 전제조건이 있다"면서 "IPS(침입방지)·IDS(침입탐지)·방화벽 등 기존에 국내 CSP가 공공에 제공한 것과 동일한 수준의 보안 조치가 가상 방식으로라도 구현돼야 한다"고 주장했다. 공공기관이 솔루션을 구매하거나 해외 CSP가 국내 CSP와 마찬가지로 제공해서 보안성을 담보해야 한다는 것이다.

기정수 NHN클라우드 상무는 "하등급 시스템이 비중요 시스템이라도 이곳이 사이버침해를 당하면 단말을 매개로 중요시스템까지 보안위협이 미칠 우려가 있는데 하등급에 이와 관련 요건이 빠져있는 것으로 보인다"면서 "공공 클라우드 확산의 가장 큰 허들은 이용기관의 클라우드에 대한 신뢰 부족이라 본다, CSAP는 더 명료하게 보완해 시행돼야 한다"고 말했다.

김준범 네이버클라우드 이사는 "세계적으로 경쟁력을 가진 자국 클라우드 사업자를 가진 나라가 얼마 없다. 한국의 경우 공공시장에서 기회가 있을 것이란 판단 하에 사업자들이 투자를 해 왔다"면서 "이제 조금씩 형태를 갖춰가는 상황에서 그나마 있던 보호가 없어지면 국내 사업자가 지속적으로 경쟁력을 높일 수 있겠는가"라고 짚었다.

IaaS(서비스형 인프라) 사업자들과 달리 PaaS(서비스형 플랫폼), SaaS(서비스형 SW) 사업자들은 다른 목소리를 내기도 했다. 김홍준 나무기술 상무는 "CSAP 등급제 도입에는 찬성한다"면서도 "다만 이미 CSAP를 취득하고 선행 투자를 한 국내 CSP들에게 역차별이 돼선 안 된다"는 입장을 냈다.

조영훈 한국SW산업협회 산업정책실장은 "민간 클라우드 활용에 중점을 둔다는 차원에서 CSAP 등급제의 조속한 실행을 바란다"면서 "SaaS 기업들은 솔루션을 올리려는 IaaS별로 모두 CSAP를 받아야 하는 실정이다. 이번에 미뤄지면 공공 SaaS 활성화가 언제 될지 알 수 없다"고 주장했다.

과기정통부와 행정안전부는 업계의 주장에 귀를 기울이면서도 정책 방향을 고수했다. 엄열 과기정통부 AI(인공지능)기반국장은 "이달 말까지 의견을 계속 수렴하고 개선할 수 있는 부분을 검토해 보겠다"고 했다. 서보람 행안부 디지털정부국장은 "올해 공공 클라우드 예산이 줄어들다 보니 도울 수 있는 부분이 줄어들어 안타깝다"고 했다.

윤영찬 의원은 "등급제 전환이 당초 총리실에서 톱다운 방식으로 내려왔고 과기정통부 허겁지겁 추진하다 보니 행안부나 국정원과의 협의도 충분히 안 된 것 같다. 중상등급 수요창출과 보안문제 등 어떤 것도 결정되지 않았다"면서 "과연 이렇게까지 서둘러야 할 사항인지 모르겠다"고 지적했다.

글·사진=팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.